現(xiàn)在使用Azure AD的企業(yè)慢慢變多��,很多企業(yè)開(kāi)始準(zhǔn)備將本地AD域搬遷到Azure AD上面去���。Workspace ONE中不管是UEM或者是Access都是將本地AD域作為最重要的認(rèn)證和用戶(hù)信息來(lái)源��,AD遷移到AAD必然是對(duì)目前架構(gòu)的一次重大調(diào)整����。
現(xiàn)在使用Azure AD的企業(yè)慢慢變多���,很多企業(yè)開(kāi)始準(zhǔn)備將本地AD域搬遷到Azure AD上面去���。Workspace ONE中不管是UEM或者是Access都是將本地AD域作為最重要的認(rèn)證和用戶(hù)信息來(lái)源�,AD遷移到AAD必然是對(duì)目前架構(gòu)的一次重大調(diào)整���。
那么�,與之對(duì)應(yīng)的�����,Workspace ONE如何調(diào)整��?理一下思路:
1Workspace ONE UEM和Azure AD對(duì)接
沒(méi)問(wèn)題�,UEM支持將Azure AD作為認(rèn)證源。
2Workspace ONE Access和Azure AD對(duì)接
也沒(méi)有問(wèn)題�����,Access和Azure AD都支持SAML����。也就是說(shuō),我們可以將Azure AD作為WS1 Access的SAML IDP���。
單獨(dú)對(duì)接都沒(méi)有問(wèn)題���,那么UEM和Access都有的情況呢�?
3Workspace ONE UEM 和Access都有�,如何和Azure AD對(duì)接?
我們需要看一下UEM和Access都存在的情況下��,企業(yè)應(yīng)用的場(chǎng)景包括:
UEM可以利用Access統(tǒng)一認(rèn)證�����,單點(diǎn)登錄���。之前UEM、Access分別和AD同步�,兩邊的用戶(hù)信息是匹配的。
啟用Hub Service���,將各個(gè)平臺(tái)(蘋(píng)果/安卓/Windows)的Intelligent Hub作為企業(yè)門(mén)戶(hù)�����。此時(shí)門(mén)戶(hù)的應(yīng)用發(fā)布是部分來(lái)自于UEM���,部分來(lái)自于Access。
所以�,我們?cè)谠O(shè)置上會(huì)將注冊(cè)時(shí)的認(rèn)證來(lái)源選為Workspace ONE Access��。
是不是開(kāi)始有點(diǎn)懵了��?
那么是不是UEM和Access分別與AAD對(duì)接�����,就可以了呢�����?
我曾經(jīng)也這么認(rèn)為�����,結(jié)果發(fā)現(xiàn)分別對(duì)接后兩邊的用戶(hù)屬性無(wú)法匹配����,會(huì)出現(xiàn)一旦將Access作為認(rèn)證源����,Hub就無(wú)法進(jìn)行正常注冊(cè)。
如果將UEM作為認(rèn)證源��,Hub可以注冊(cè),但無(wú)法獲取到Access發(fā)布的應(yīng)用列表���。
貌似是一個(gè)兩難的境地����。
突破點(diǎn)是讓兩邊的用戶(hù)屬性統(tǒng)一����,最合理的方式是:Access把用戶(hù)寫(xiě)入到UEM里面。
事實(shí)上是用戶(hù)屬性從AAD→_→Access→_→UEM�。
我知道聽(tīng)起來(lái)有點(diǎn)玄幻,但確實(shí)可以做����。基于兩點(diǎn):
1將Azure AD作為WS1 Access的SAML IDP��,配置Just in Time用戶(hù)�,在 用戶(hù)登錄Access(其實(shí)是登錄Azure AD)的同時(shí),把信息寫(xiě)入Access���。
實(shí)現(xiàn)了用戶(hù)屬性從AAD→_→Access�。
2 利用Airwatch Provisioning APP�,實(shí)現(xiàn)用戶(hù)屬性從Access→_→UEM。
也就是說(shuō)在開(kāi)始時(shí)Azure AD用戶(hù)在UEM和Access都是沒(méi)有賬戶(hù),更不用說(shuō)用戶(hù)屬性了���。
Azure AD用戶(hù)要做的就是登錄一次Access�����,即可完成在Access和UEM的賬戶(hù)創(chuàng)建���,包括用戶(hù)屬性和Azure AD同步。
接下來(lái)用戶(hù)就可以用Azure AD憑證來(lái)注冊(cè)設(shè)備�,獲取完整的應(yīng)用門(mén)戶(hù)了!
管理員無(wú)需進(jìn)行用戶(hù)生命周期管理�。只需要負(fù)責(zé)Azure AD的部分就好了。
很好對(duì)吧����,下面我們來(lái)看看如何實(shí)現(xiàn)。
測(cè)試環(huán)境準(zhǔn)備:
Workspace ONE UEM
Workspace ONE Access
Microsoft 365 (Azure AD)
如何獲得以上測(cè)試環(huán)境我就不寫(xiě)了����。
首先我們利用hub service的向?qū)В瑢EM和Access進(jìn)行集成�����。這是最簡(jiǎn)易的方式,很輕松將UEM和Access集成起來(lái)����。注意hub注冊(cè)認(rèn)證源選擇成Access。
下面我們將Azure AD配置成Access的SAML IDP�。
第一步先下載Access的SAML元數(shù)據(jù),注意此時(shí)Access是作為服務(wù)提供商(SP)��,所以我們需要下載SP的元數(shù)據(jù)��。
第二步���,我們需要配置Azure AD�����。先打開(kāi)https://aad.portal.azure.com/ ����。
選擇Azure Active Directory�,創(chuàng)建一個(gè)新的企業(yè)應(yīng)用程序���。
選擇最后一項(xiàng)Non-gallery����。
授權(quán)用戶(hù),把自己的測(cè)試賬戶(hù)分配進(jìn)去����,要不然沒(méi)有授權(quán),用戶(hù)是沒(méi)法使用這個(gè)應(yīng)用程序來(lái)完成SAML的�。
點(diǎn)擊單一登錄,SAML����。
設(shè)置基本SAML配置。
實(shí)體ID:剛才Access SP的XML地址�。記得設(shè)置成默認(rèn)。
回復(fù)URL:SP.xml里面可以找到���。
注銷(xiāo)URL:同上��。
添加斷言中的用戶(hù)屬性和聲明:
注意這些值會(huì)作為Access的JIT用戶(hù)屬性���,其中最關(guān)鍵的是ExternalID,是將來(lái)配置Airwatch Provisioning APP所必須的����,如果沒(méi)有則會(huì)造成用戶(hù)無(wú)法置備到UEM里面去��。注意聲明名稱(chēng)的大小寫(xiě)�����。
下載聯(lián)合元數(shù)據(jù)XML�����。
第三步���,我們回到Access界面。
在身份提供程序中點(diǎn)擊添加SAML IDP��。
填寫(xiě)身份提供程序的名稱(chēng)�����,綁定協(xié)議HTTP重定向��。
SAML 元數(shù)據(jù)就是把剛才從Azure AD下載的聯(lián)合元數(shù)據(jù)XML用編輯器打開(kāi)�����,粘貼到框中�,點(diǎn)擊處理IDP元數(shù)據(jù)。
用戶(hù)識(shí)別方式選為NameID元素�,點(diǎn)擊加號(hào)兩次,添加:
“urn:oasis:names:tc:1.1:nameid-format:unspecified”映射到
“userPrincipalName”��。
“urn:oasis:names:tc:1.1:nameid-format:emailAddress”映射到
“userPrincipalName”�����。
選中即時(shí)用戶(hù)置備�����,創(chuàng)建目錄名稱(chēng)(可以是任意�����,不一定是FQDN那種)���。
選中使用的網(wǎng)絡(luò)范圍��,沒(méi)有設(shè)置過(guò)就選中所有�����。默認(rèn)是不選的����,一定要選中。
身份驗(yàn)證方法自己隨便起名字�����,SAML上下文是
選中啟用單點(diǎn)注銷(xiāo)配置��。
修改訪問(wèn)策略����,根據(jù)實(shí)際情況,本文是修改了default策略����。選中所使用剛才自己創(chuàng)建的身份驗(yàn)證名稱(chēng)。
可以觀察到目錄中多出了一個(gè)即時(shí)目錄����,希望你剛才起了一個(gè)容易分辨的名字。
打開(kāi)另外一個(gè)瀏覽器或者是隱私模式之類(lèi)的�,嘗試用Azure AD用戶(hù)來(lái)登錄Access。
你會(huì)發(fā)現(xiàn)界面會(huì)自動(dòng)跳轉(zhuǎn)到Azure AD登錄��。
登錄完成之后會(huì)發(fā)現(xiàn)該用戶(hù)被即時(shí)創(chuàng)建了出來(lái)����。
注意觀察此時(shí)的用戶(hù)屬性,包括了我們的ExternalID���,也就是圖中的外部ID��。
第四步:配置Airwatch Provisioning APP來(lái)做用戶(hù)置備��。這步還是在Access界面上��。
新建Web應(yīng)用����,從目錄中選擇Airwatch Provisioning�,先不用做任何配置,一路點(diǎn)擊下一步�����,保存���。
回到Web應(yīng)用列表���。選中新建出來(lái)的Airwatch Provisioning���,點(diǎn)擊編輯。會(huì)發(fā)現(xiàn)界面有所變化���。出現(xiàn)在置備的相關(guān)內(nèi)容�。
點(diǎn)開(kāi)配置��。這里可以采用粘貼XML內(nèi)容的方式來(lái)自動(dòng)填寫(xiě)�。XML是來(lái)自UEM設(shè)置目錄集成這里導(dǎo)出。
置備選項(xiàng)頁(yè)中��,可以選擇啟用證書(shū)身份驗(yàn)證��,或者手動(dòng)輸入的方式����。把啟用置備改成“是”。
用戶(hù)置備頁(yè)面����。帶紅色星號(hào)的是必須的,可以看到ExternalID(外部ID)的重要性�。
組置備可以不配置。
保存并分配給用戶(hù)/組即可。稍后可以看到用戶(hù)已經(jīng)置備成功��。
此時(shí)回到UEM界面���,就可以看到置備出來(lái)的用戶(hù)���。
需要說(shuō)明的是�,用戶(hù)只需要登錄一次Access即可,并不需要手工點(diǎn)擊Airwatch Provisioning這個(gè)APP���,其實(shí)默認(rèn)這個(gè)APP是隱藏����,不顯示在用戶(hù)門(mén)戶(hù)中的���,因?yàn)闆](méi)必要��。
最后一步就可以用設(shè)備來(lái)注冊(cè)試試看了���。
至此我們就完成了WS1的挑戰(zhàn),和Azure AD的集成��。
立即登錄,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
